争论是否采用云计算的日子已经结束。大多数企业已将其业务迁移到云计算平台,迁移应用程序、数据和服务以响应技术进步和业务转型。随着消费者期望和技术发展继续影响企业收集、存储和共享有价值数据的方式,保护数据免受现有和高级持续威胁的工作变得更加复杂。CISO必须做好准备,帮助IT和安全团队应对不断变化的云安全威胁。以下是每个CISO都应该回答的关于云安全状况的三个问题。1、企业的风险偏好与云计算战略是否一致?企业需要了解自己的风险偏好,这是一个很好的机会,但从云计算战略的角度考虑风险偏好很重要,因为云计算运营模式引入了新的安全风险。许多因素会影响企业的风险偏好,包括:行业监管和合规性;劳动力的知识和经验;人数和地点;硬件和软件现代化状况;IT和业务目标;治理流程和程序的成熟度;先前的网络威胁事件;独特的客户群。不同行业的组织有不同的风险偏好。例如,医疗设备初创公司的首席信息官与传统银行的首席信息官有着不同的风险偏好。一旦组织建立了风险偏好概况,就该评估该指标是否符合组织的治理、风险和合规性需求。云计算战略和网络安全战略应该同步进行。至少,IT安全团队应该了解不同云部署模型带来的挑战。他们还应该接受有关云安全最佳实践的教育,包括支持资产管理可见性的云原生安全平台。如果您的网络安全策略和云计算策略不一致,那么是时候重新审视两者了。2、企业的网络安全模型是否足够成熟,适合云计算?取决于企业的安全能力和之前的投资,这个问题可能很难回答。将云集成到现有的企业安全程序中并不是要添加更多控件或工具。这需要对组织的资源和业务需求进行评估,以便为其企业文化和云安全战略制定新的方法。管理有凝聚力的混合云或多云安全计划,建立可见性和控制,并通过有效的威胁管理来协调工作负载部署。使用正确的工具获得可见性对每个安全团队都至关重要。但是,CISO在监督日常安全操作时,了解的不够多,无法确定云安全模型是否足够成熟。相反,答案应该在很大程度上取决于安全态势管理评估的结果。持续进行安全态势管理演习。该评估旨在通过持续监控和审计提供有关组织现有安全运营计划和整体漏洞准备情况的可操作情报。并非所有网络安全模型都旨在支持当今的云计算操作模型。安全态势管理工具可以跨云基础设施环境(包括IaaS、PaaS和SaaS)自动识别和纠正风险。此外,企业可以使用云安全态势管理进行风险可视化和评估、事件响应、合规性监控和DevOps集成。该评估还支持在混合云、多云和容器环境中一致地应用云安全最佳实践。通过花时间评估您的云网络安全模型的成熟度,您更接近于预测IT和安全团队可能需要做什么来保护数据免受下一次技术进步或消费者行为变化的影响。企业距离优化其安全策略以满足与云相关的业务需求又近了一步。3.企业的网络安全范式是否左移?向左安全转变涉及在整个应用程序开发生命周期中集成网络安全措施和测试最佳实践。其目的是在此过程的早期识别和修复安全漏洞。这种方法需要对DevSecOps思维和能力进行投资。如果实施得当,它可以加快上市时间,同时节省时间和金钱。以下是评估DevSecOps成熟度的问题:您的云环境是否经过优化配置以通过自动化降低风险?您的组织是否采用了基础架构即代码、安全即代码或合规性即代码框架?将安全威胁建模纳入架构设计?由于敏捷开发最佳实践的流行和云计算技术的进步,应用程序开发经历了这种左移。例如,自动持续集成/持续交付测试、容器平台和易于使用的公共云配置资源都变得越来越普遍——扩展检测和响应、安全编排、自动化和响应工具也是如此。这些工具可以处理日常的安全运营中心警报,编排适当的响应,并对服务票据基础设施进行分类,这样就可以在没有人为干预的情况下解释事件。随着应用程序开发和安全操作变得更加自动化,这种向左的转变将继续获得动力。确保您的企业网络安全模型保持最新。
